ANÁLISE DE SEGURANÇA NA IMPLEMENTAÇÃO DE TECNICAS DE...

1

UNIVERSIDADE SÃO FRANCISCO

Engenharia de Computação

WAGNER ROBERTO PEREIRA

ANÁLISE DE SEGURANÇA NA IMPLEMENTAÇÃO

DE TECNICAS DE VIRTULIZAÇÃO EM AMBIENTES

CORPORATIVOS

Itatiba

2012

2

WAGNER ROBERTO PEREIRA – R.A. 002200801281

ANÁLISE DE SEGURANÇA NA IMPLEMENTAÇÃO

DE TECNICAS DE VIRTULIZAÇÃO EM AMBIENTES

CORPORATIVOS

Monografia apresentada á disciplina Trabalho

de Conclusão de Curso, do curso de Engenharia de

Computação da Universidade São Francisco, sob

orientação do Prof. Rodrigo Luis Nolli Brossi, como

exigência para conclusão do curso de graduação.

Orientador: Prof. Rodrigo Luis Nolli Brossi

Itatiba

2012

3

AGRADECIMENTOS

Primeiramente agradeço à Deus por ter colocado no meu caminho tantas

pessoas que, sempre me apoiaram e me deram forças para continuar. Agradeço aos

meus irmãos e pais, Adriana e Claudinei, por serem um exemplo de perseverança pra

mim, por sempre terem lutado para eu chegar onde cheguei. Agradeço a minha noiva

e minha filha, Eliane e Emily, por estarem ao meu lado, por sempre terem apostado, e

acreditado em mim e sempre ter me apoiado nas minhas decisões. Agradeço ao

professor, orientador e amigo Rodrigo Luis Nolli Brossi, pelo incentivo e dedicação

doados para a realização deste trabalho. E agradeço a todos meus amigos, familiares

e as pessoas que sempre me apoiaram, ajudaram e acreditaram em mim, pois devo a

todos os meus mais sinceros agradecimentos, porque sozinho não teria conseguido.

Dedico a todas essas pessoas esse meu trabalho de conclusão de curso.

4

RESUMO

Com a grande evolução das tecnologias computacionais e das

telecomunicações, a Internet deixou de ser um simples meio de comunicação e

passou a prover serviços, as empresas foram impulsionadas a investirem em

tecnologias que lhe ofereçam maior agilidade, mobilidade, qualidade, transparência,

baixo custo e segurança. Junto a essa evolução, a internet se tornou mais dinâmica,

interativa e com isso, surgiram novas ameaças virtuais como vírus, spyware, adware,

cavalo de tróia, worn, keylogger, hijacker, phishing. Em contra partida, meios de

proteção a rede também vem sendo criados a medida que as ameaças evoluem e

cada vez mais sendo procurados. A ferramenta de segurança que será abordada no

decorrer do trabalho será Honeypot. Honeypot são recursos que trazem subsídios aos

profissionais de segurança para a realização de estudos e soluções de problemas que

podem prejudicar a privacidade de uma rede, recursos de segurança criados para

serem sondados, atacados ou comprometidos, utilizados para distrair atividade

maliciosa de máquinas valiosas da rede servindo como mecanismo de alerta, ou,

utilizados para monitoração de um ataque, a fim de coletar informações do atacante,

explorar vulnerabilidades de segurança em sua rede e corrigi-las posteriormente. O

desenvolvimento deste estudo tem como objetivo introduzir os principais conceitos de

virtualização, assim como relatar experiências e casos de sucesso de empresas que

adotaram Honeypot como ferramenta de segurança e gerenciamento de

vulnerabilidades da rede.

Palavra chave: Virtualização, segurança, honeypot.

5

ABSTRACT

With the great development of computer technologies and telecommunications,

the Internet is no longer simply a means of communication and began to provide

services, companies were driven to invest in technologies that will offer greater agility,

mobility, quality, transparency, and low cost security. Along with this evolution, the

internet has become more dynamic, interactive and with this, new cyber threats like

viruses, spyware, adware, Trojan horse, worn, keylogger, hijacker, phishing. By

contrast, protection means the network has also been created as threats for evolve and

increasingly being sought. A security tool which will be addressed during the work will

be Honeypot. Honeypot subsidies are resources that bring security professionals to

conduct studies and solutions to problems that can harm the privacy of a network

security features designed to be probed, attacked or compromised, used to distract

malicious activity valuable network of machines serving as a warning mechanism, or,

used for monitoring an attack in order to collect information from the attacker, exploiting

security vulnerabilities in your network and fix them later. Development of this study is

to introduce the main concepts of virtualization, as well as share experiences and

success stories of companies that have adopted Honeypot tool as security and

vulnerability management network.

Keywords: Virtualization, security, honeypot.

6

Sumário

1. Introdução..............................................................................................................10

2. Objetivo..................................................................................................................11

3. Metodologia...........................................................................................................11

4. Revisão Bibliográfica.............................................................................................12

4.1. Virtualização ............................................................................................. 12

4.2. História da virtualização..............................................................................12

4.3. A importância da virtualização....................................................................13

4.4. Tipos de virtualização ............................................................................... 14

4.4.1. Virtualização de servidores ......................................................... 14

4.4.2. Virtualização de desktops ........................................................... 15

4.4.3. Virtualização de aplicativos ......................................................... 15

4.5. Segurança na virtualização.........................................................................15

4.6. Honeypot .................................................................................................. 17

4.7. Historia do Honeypot..................................................................................18

4.8. Importancia do honeypot............................................................................19

4.8.1. Honeypot de Produção.................................................................19

4.8.2. Honeypot de Pesquisa.................................................................21

4.9. Tipos de honeypot......................................................................................21

4.9.1. Honeypot de Baixa Interação ......................................................21

4.9.2. Honeypot de Alta Interação .........................................................23

4.10. Honeynet……...........................................................................................25

4.10.1. Honeynet Real ou Classica……………………...………………..26

4.10.2. Honeynet Virtual…………………............………..……………….28

5. Implementação do Honeypot.....................................................................................30

5.1. Criar a maquina virtual................................................................................30

5.2. Instalando o Sistema Operacional..............................................................35

5.3. Instalando o PentBox - Honeypot...............................................................41

5.4. Acesso ao PentBox - Honeypot..................................................................46

5.5. Ferramenta Valhala Honeypot - Windows..................................................49

5.6. Acesso ao Honeypot - Valhala....................................................................51

5.6.1. Log de acesso Valhala - Honeypot..............................................55

6 Conclusão..................................................................................................................58

7. Bibliografia................................................................................................................59

7

LISTA DE FIGURAS

Figura 1: Figura 1 - Exemplo da arquitetura de um Honeypot..................17

Figura 2: Figura 2 - Exemplo de arquitetura de uma honeynet.................24

Figura 3: Figura 3 - Exemplo da arquitetura de Honeynet.........................26

Figura 4: Figura 4 - Exemplo de honeynet clássica...................................27

Figura 5: Figura 5 - Exemplo de honeynet virtual......................................29

Figura 6: Figura 6 – Oraculo VM VirtualBox..............................................30

Figura 7: Figura 7 – Criando a maquina virtual.........................................31

Figura 8: Figura 8 – Alocando memória para maquina virtual..................31

Figura 9: Figura 9 – Definindo disco de boot.............................................32

Figura 10: Figura 10 – Criação de discos virtuais........................................32

Figura 11: Figura 11 – Detalhes do armazenamento de disco virtual.........33

Figura 12: Figura 12 – Alocando o tamanho do disco virtual.......................34

Figura 13: Figura 13 – Especificações da maquina virtual criada...............35

Figura 14: Figura 14 – Modos de instalação do sistema operacional.........36

Figura 15: Figura 15 – Inicializando com o modo de interface gráfica.......36

Figura 16: Figura 16 – Interface gráfica.......................................................37

Figura 17: Figura 17 – Selecionando idioma...............................................37

Figura 18: Figura 18 – Localização e fuso horário.......................................38

Figura 19: Figura 19 – Selecionando o layout de teclado............................39

Figura 20: Figura 20 – Preparar espaço em disco virtual............................39

Figura 21: Figura 21 – Preparando para instalação....................................40

Figura 22: Figura 22 – Acesso após instalação do pacote de dados.........41

Figura 23: Figura 23 – Comando para baixar o pentbox.............................41

Figura 24: Figura 24 – Pacotes instalados..................................................42

Figura 25: Figura 25 – Atualizando o SVN..................................................42

Figura 26: Figura 26 – Tela inicial do pentbox............................................43

Figura 27: Figura 27 – Menu de configuração do honeypot.......................43

Figura 28: Figura 28 – Menu de opções de ferramentas............................44

Figura 29: Figura 29 – Definindo porta aberta............................................45

Figura 30: Figura 30 – Honeypot em execução..........................................46

Figura 31: Figura 31 – Endereço IP da maquina virtual..............................46

Figura 32: Figura 32 – Verificando as portas abertas com o Nmap...........47

Figura 33: Figura 33 – Putty acesso ao IP 124.0.2.190 porta 23................47

Figura 34: Figura 34 – Honeypot atacado...................................................48

8

Figura 35: Figura 35 – Log de acesso.........................................................48

Figura 36: Figura 36 – Ferramenta Valhala honeypot.................................49

Figura 37: Figura 37 – Criação de diversos ambientes de honeypot.........50

Figura 38: Figura 38 – Habilitando servidor telnet.......................................50

Figura 39: Figura 39 – Acesso via putty ao honeypot Valhala....................51

Figura 40: Figura 40 – O honeypot foi acessado pelo atacante..................52

Figura 41: Figura 41 – Acessando conteúdo do honeypot..........................52

Figura 42: Figura 42 – Acessando a pasta de Arquivos no honeypot........53

Figura 43: Figura 43 – Acesso negado ao tentar acessar o diretório.........53

Figura 44: Figura 44 – Monitoramento do acesso ao honeypot..................54

9

LISTA DE TABELA

Tabela 1 – Comparação entre Honeypot de baixa interatividade e Honeypot de

alta interatividade ........................................................................................................ 24

10

1. Introdução

Com o grande avanço tecnológico, as empresas são impulsionadas a

investirem em tecnologias que lhe ofereçam maior agilidade, mobilidade de

serviços, qualidade, flexibilidade da informação com maior transparência ao

usuário final, e o baixo custo. Em paralelo a essa evolução, a internet se tornou

mais dinâmica e interativa, o que possibilita que essas novas tecnologias sejam

utilizadas com mais frequência nas empresas e computadores pessoais tendo

muitas das vezes, funcionalidade de prover serviços.

A virtualização auxilia o trabalho em um ambiente onde haja uma

diversidade de plataformas de software, sem ter um aumento no número de

plataformas de hardware. Assim, cada aplicação pode executar em uma máquina

virtual própria, possivelmente incluindo suas bibliotecas e seu sistema operacional,

fazendo assim um melhor aproveitamento do processamento e memória de seu

hardware.

A segurança na virtualização pode ser analisada através de dois

mecanismos de segurança: físicos e lógicos. O mecanismo físico esta relacionado

com segurança local, onde a informação é hospedada, tendo como objetivo

restringir acessos através meios físicos como, fechaduras, blindagens e outros. Já

os mecanismos lógicos são tratados como meio de camuflar a informação de

modo de terceiros não tenham acesso, utilizando procedimentos como criptografia,

integridade, controle de acesso, protocolos seguros, e ferramentas como

honeypots e outros.

.

11

2. Objetivos

A elaboração deste projeto tem como objetivo, analisar e estudar a melhor

forma de implementação da ferramenta honeypots em ambientes corporativos

virtualizados.

3. Metodologia

Para conhecer quais os tipos e o funcionamento das criptografias mais comuns

que existem atualmente e quais os problemas de segurança enfrentados nas

empresas, um estudo será realizado tendo como base as referencias bibliográficas

que foram primeiramente apresentadas no Plano Inicial além de outras a serem

pesquisadas no andamento do trabalho.

Após consolidar os problemas de segurança enfrentados, demonstrará as

principais técnicas utilizadas na implementação da virtualização, visando garantia

melhor confiabilidade, integridade e disponibilidade nos serviços prestados pela

organização.

Por fim, com intuito de resolver os problemas comuns e relatar o

funcionamento do sistema com a virtualização, implementar no ambiente já

virtualizado como funciona a ferramenta honeypots que será utilizada para evitar

ataques, serão criados varias maquinas clientes com características atrativas para

ataques, com o intuito de detectar as atividades maliciosas na rede, e após obter

ideias e soluções para problemas reais vividos dentro dessa área de redes e

ambientes virtualizados corporativos.

12

4. Revisão Bibliográfica

4.1. Virtualização

Para DUARTE, virtualização é apresentada na maioria das vezes como

capacidade de fazer um mesmo hardware ser explorado por diversos ambientes

computacionais, então, considera-se virtualização como a técnica que cria ilusões

dos recursos físicos para serem explorados pelas maquinas virtuais. Essa técnica,

muito empregada em servidores, ainda tem como vantagem oferecer uma camada

de abstração dos verdadeiros recursos físicos de uma maquina, provendo um

hardware virtual para cada sistema torna-se também uma excelente alternativa de

migração de sistema.

4.2. História da Virtualização

A ideia de virtualização, apesar de ter mais atenção nos últimos anos a

virtualização surgiu na metade dos anos 1960, quando os gigantes e caros

computadores atingiram grandes velocidades de processamento, porem se mostravam

ineficientes nos aspectos de tempo de calculo, devido ao gerenciamento de processos

ser feito manualmente pelo operador. Então para melhor proveito de processamento

computacional era necessário executar vários processos em paralelo, e com isso

surgiu o conceito de tempo compartilhado, o que resultou na ideia de virtualização.

Em 1972, a IBM lançou um mainframe capaz de executar simultaneamente

diferentes sistemas operacionais sob a supervisão de um programa de controle, o

hipervisor. O sistema 370 da IBM foi o primeiro computador comercial inteiramente

projetado para virtualização, que com o sistema operacional CP/CMS, permitia

executar múltiplas instâncias simultaneamente. Este foi seguido pelo IBM z/VM, que

se aproveitava da virtualização via hardware de forma mais completa, onde todas duas

interfaces de hardware eram virtualizadas. O VM/CMS é muito bem conceituado e

amplamente distribuído na indústria e em ambientes acadêmicos.

13

Com o passar dos anos a virtualização começou a cair no esquecimento,

devido a criação de novas aplicações cliente-servidor, de acordo com a VMWare, com

o desenvolvimento de sistemas operacionais como o Windows e Linux em 1990

acabaram por estabelecer a arquitetura x86 como padrão da indústria. Devido ao alto

custo para aquisição de mainframe, empresas passaram a adquirir servidores de

plataforma x86, processo chamado de low-end (varias maquinas pequenas fazendo o

trabalho de um grande servidor). Com essa nova estratégia reduziu custos, porem em

cada implementação dos servidores x86, o uso do processamento ficava entre 10 a

15% da capacidade total do servidor, e acabando por sofrer do mesmo problema dos

mainframes da década 1960, ou seja, não se aproveitava toda sua capacidade

computacional.

Em 1999, a VMWare introduziu o conceito de virtualização na plataforma x86

como uma maneira mais eficiente para utilizar uma estrutura computacional que

possibilitasse o total aproveitamento dos recursos computacionais destes servidores.

A partir de 2005 fabricantes de processadores como Intel e AMD deram mais

atenção a necessidade de melhorar o suporte via hardware em seus produtos. A Intel

com sua tecnologia Intel VT e a AMD com a AMD-V. Estes hardwares contém

funcionalidades explícitas que permitem que hypervisor melhorados sejam utilizados

com a técnica de virtualização completa, que tornam mais fácil a implementação e

potencializam a melhora de desempenho.

4.3. A importância da virtualização

Atualmente no ambiente corporativo, a busca por novas tecnologias que

atendam as necessidades das empresas esta em constante crescimento, e cada vez

mais estão a procura de maior garantia, disponibilidade do serviço, integridade da

informação. Uma das razões pra se utilizar a virtualização, é a consolidação de

servidores, pois ao virtualizar um determinado número de sistemas em apenas um

servidor físico, conseguirá economizar espaço em estrutura física, espaço em disco,

refrigeração, energia e centralizará o gerenciamento.

Para determinar quais servidores podem ou não ser virtualizados, deve-se

fazer uma avaliação de recursos utilizando-se de ferramentas como MRTG ou Cacti

14

(ambos utilizam como ferramenta o protocolo SNMP) para monitorar o desempenho e

o uso de recursos em cada servidor. Uma vez virtualizado, deve ser feito um

acompanhamento, verificando se o novo servidor físico também ficará sobrecarregado,

é possível migrar determinado servidor virtual para outro servidor físico com o mesmo

em produção – sem necessidade de reboot, e sem afetar o funcionamento das

maquinas virtuais, tendo assim um balanceamento de carga entre as maquinas físicas.

A virtualização também é importante ao analisarmos a redundância em data centers,

com a migração em tempo real, uma vez identificada a possibilidade de falha de

determinada máquina física hospedeira, bastaria migrar as máquinas virtuais para

outros servidores físicos. Porém, se acontecer alguma falha não esperada em algum

servidor hospedeiro, todas as máquinas virtuais daquele equipamento podem ser

afetadas e máquinas virtuais poderão ser corrompidas.

4.4. Tipos de virtualização

4.4.1. Virtualização de servidores

De acordo com a Network World, virtualização de servidores é motivada em

ordem de importância, pelas seguintes razões: aumentar a taxa de utilização de

servidores, reduzir os custos operacionais de datacenters, melhorar os procedimentos

de recuperação de desastres e de backup, criar ambientes mais flexíveis para

desenvolvimento e teste de software e reduzir custos de administração de TI.

A virtualização é um processo que, através do compartilhamento de hardware,

permite a execução de inúmeros sistemas operacionais em um único equipamento.

Cada máquina virtual criada neste processo é um ambiente operacional completo,

seguro e totalmente isolado como se fosse um computador independente. A

virtualização de servidores é o processo no qual os sistemas operacionais e as

aplicações normalmente utilizadas em servidores físicos, passam a utilizar máquinas

virtuais, fazendo um uso mais eficiente do hardware, permitindo maior agilidade e

redução dos custos.

15

4.4.2. Virtualização de desktops

O conceito da virtualização de desktops é o mesmo empregado na

virtualização de servidores, a de possuir a capacidade de executar diversos desktops

virtuais em um ou mais servidores físicos. Este tipo de virtualização implica na

separação do modelo tradicional, na qual os usuários executam os seus sistemas

operacionais e aplicações localmente, onde todos os programas, aplicações,

processos e dados são mantidos e executados de forma centralizada.

Uma forma muito utilizada e difundida de virtualização, tratando-se de

desktops, é o servidor de terminais, onde os usuários conectados possuem uma

sessão dentro de um mesmo sistema operacional, onde cada usuário possui o seu

próprio sistema operacional e as suas aplicações, tal como se estivesse utilizando um

desktop normal.

4.4.3. Virtualização de aplicativos

O conceito da virtualização de aplicações é que os aplicativos são executados

na máquina local ou virtual, utilizando os seus recursos, mas não tem permissões para

fazer qualquer tipo de alteração. Ao invés disso, eles são executados em um pequeno

ambiente virtual que contém as entradas do registro, arquivos, DLLs e os demais

componentes que eles precisam para executar. Este ambiente virtual age como uma

camada entre a aplicação e o sistema operacional.

4.5. Segurança na Virtualização

As redes de computadores, e consequentemente a Internet segundo Laureano,

mudaram as formas como se usam sistemas de informação. As possibilidades e

oportunidades de utilização são muito mais amplas que em sistemas fechados, assim

como os riscos à privacidade e integridade da informação. Atualmente, é muito

importante que mecanismos de segurança de sistemas de informação sejam

projetados de maneira a prevenir acessos não autorizados aos recursos e dados

destes sistemas.

16

Conforme definido por SCHNEIER em Segredos e Mentiras, segurança é a

redução do perigo. Nunca se pode eliminar o risco, mas a segurança ajuda a reduzir

as ameaças de uma organização e seus recursos de informação relacionados.

De acordo com SÊMOLA, alguns critérios devem ser respeitados para um

sistema ser considerado seguro:

• Autenticidade: garante que a informação ou o usuário da mesma é

autêntico, ou seja, garante que a entidade envolvida é quem afirma ser;

• Não repúdio: não é possível negar a existência ou autoria de uma

operação que criou, modificou ou destruiu uma informação;

• Auditoria: implicam no registro das ações realizadas no sistema,

identificando os sujeitos e recursos envolvidos, as operações realizadas, seus

horários, locais e outros dados relevantes.

Em virtualização consideram-se três os princípios básicos para garantir a

segurança da informação, segundo KRAUSE e TIPTON:

• Confidencialidade: a informação somente está visível a sujeitos

(usuários e/ou processos) explicitamente autorizados;

• Disponibilidade: a informação deve estar prontamente disponível

sempre que for necessária;

• Integridade: a informação somente pode ser modificada por sujeitos

explicitamente autorizados e de formas claramente definidas.

A segurança visa também aumentar a produtividade dos usuários através de

um ambiente mais organizado, proporcionando maior controle sobre os recursos de

informática, viabilizando até o uso de aplicações de missão crítica. A combinação em

proporções apropriadas dos itens confidencialidade, disponibilidade e integridade

facilitam o suporte para que as empresas alcancem os seus objetivos, pois seus

sistemas de informação serão mais confiáveis.

17

4.6. Honeypot

De acordo com HONEY NET PROJ, honeypots são recursos de segurança

criados para serem sondados, atacados ou comprometidos por um atacante; podem

ser utilizados para distrair atividade maliciosa de máquinas valiosas da rede ou como

mecanismo de alerta (honeypots de produção); ou podem ser utilizados para

monitoração de um ataque (honeypots de pesquisa).

Segundo SPITZNER, honeypot é "um recurso de segurança mentiroso com

valores a serem sondados, atacados ou comprometidos". É uma ferramenta que

apenas emula outros sistemas, aplicações, cria um ambiente preso, ou pode ser

construído um sistema padrão. Independentemente de como você construir e usar o

honeypot, seu valor reside no fato de ser atacado, a fim de coletar informações e

meios usados para realizar o ataque. A Figura 1 é uma arquitetura apresentada de

honeypot.

Exemplo de arquitetura de Honeypot.

Figura 1: Exemplo da arquitetura de uma rede com Honeypot.

18

4.7. Historia do Honeypot

Segundo STOLL, em agosto de 1986 ele e outros administradores de rede do

Lawrence Berkley Laboratory perceberam que alguém estava atacando e obtendo

acesso a sua rede. Porém eles não tentaram interromper os ataques para manter o

invasor longe, e sim resolveram deixá-lo continuar o ataque enquanto eles

monitoravam a ação do invasor, mas as máquinas que sofreram o ataque não eram

preparadas para o fim de monitoramento, eram máquinas de uso do instituto, com

arquivos e serviços verdadeiros.

No ano de 1991, CHESWICK relatou que ao perceber que um computador da

AT&T Bell Laboratories estava sofrendo um ataque resolveu fazer algo parecido com o

descrito por STOLL, mas este preparou especialmente uma máquina para ser

invadida, assim poderia melhor controlar os acessos e permissões do invasor, além de

não comprometer assim os arquivos e sistemas reais da rede.

Porém foi em 1998 que Fred Cohen desenvolveu e distribuiu gratuitamente

pela internet a ferramenta chamada “The Deception Toolkit”. Esta ferramenta tinha o

objetivo de simular vulnerabilidades em softwares conhecidos, emitindo respostas

específicas para cada tentativa de invasão que a ferramenta sofresse, para assim

tornar o sistema mais real para que o atacante não perceba que caiu em uma

armadilha. Neste modo surgiu o que pode ser considerado o primeiro honeypot de

aplicação.

Nesta época SPITZNER, surgiu o termo honeypot como definição para um

recurso de segurança preparado especificamente para ser sondado, atacado ou

comprometido e para registrar essas atividades. Após o surgimento do DTK diversas

outras tecnologias de honeypots foram desenvolvidas, incluindo diversos produtos

comerciais como o Cybercop Sting, o NetFacade e o NFR BackOfficer Friendly.

Em 1999 um grupo de pesquisadores e profissionais da área de segurança

criou uma rede especificamente projetada para ser comprometida, dando início ao

‘The Honeynet Project’, um projeto que consiste em quatro fases.

Mesmo com os conceitos de honeypots serem da época de STOLL e

CHESWICK foi apenas no ano de 2002 que foi concedido ao termo honeypot uma

19

definição clara, sendo definido como recurso de segurança cujo valor está na sua

sondagem, ataque ou comprometimento.

4.8. Importância do Honeypot

SPITZNER relatou que diferentemente de outros mecanismos de segurança,

como firewalls e sistemas de detecção de intrusos, um honeypot não foca em um

problema específico, e sim é uma ferramenta que contribui de uma forma mais

abrangente na arquitetura da segurança. A importância dos honeypots, e os

problemas que ele pode resolver estão diretamente ligados à maneira que é

construída, implantados e utilizados.

Honeypots tem vantagens e desvantagens que influenciam diretamente em sua

importância, de acordo com o criador da ferramenta honeypots Marty Roesch Snort,

existem duas categorias, são elas "produção" e "pesquisa".

4.8.1. Honeypot de Produção

O propósito de um honeypot de produção é para ajudar a mitigar os riscos,

agregar valor para as medidas de segurança de uma organização. Ele age como

"aplicação da lei", o seu trabalho é detectar e lidar com bandidos. Tradicionalmente, as

organizações comerciais usam honeypots de produção para ajudar a proteger suas

redes.

São sistemas que aumentam a segurança de um organização, são mais fáceis

de construir porque requerem menos funcionalidades. Usualmente possuem as

mesmas configurações que a rede de produção da organização e transportam para ela

todo o aprendizado obtido com os ataques sofridos. Será analisado Honeypots de

Produção segundo as categorias de segurança definidos por SCHNEIER em seu livro

”Secrets and Lies” que divide segurança em prevenção, detecção e resposta.

20

Nos termos definidos por SCHNEIER, prevenção significa manter os invasores

fora de sua rede. Faz-se então uma analogia com a segurança de uma casa,

prevenção significa instalar uma cerca no jardim, fechar as janelas e trancar as portas,

ou seja, fazer todo o possível para manter do lado de fora qualquer ameaça. Sob este

ponto de vista, honeypots tem pouco a acrescentar, uma vez que não conseguem

barrar os possíveis atacantes, de fato possuem o objetivo oposto.

Alguns pesquisadores alegam que honeypots são importantes para a

prevenção, por adicionarem alguns fatores como: o tempo e os recursos gastos na

tentativa de ataque a uma honeypot, quando estes recursos poderiam estar sendo

direcionados para uma rede de produção; e a preocupação infringida ao atacante por

este saber que a rede de uma organização pode ser na verdade uma honeypot. Estes

argumentos são válidos para ataques contra alvos de escolha, onde os atacantes tem

um grande nível de conhecimento e analisam a informação que recebem do alvo para

efetuarem o ataque. Para alvos de oportunidade, nos quais o que mais importa para o

atacante é a quantidade de alvos atingidos e na maioria das vezes, tais ataques são

automatizados e uma honeypot agrega pouco valor de prevenção.

A detecção se refere a alertar atividades não autorizadas. Seguindo a mesma

analogia da segurança de uma casa, detecção significaria instalar alarmes pela casa,

detectores de movimento. Detecção é importante, pois mais cedo ou mais tarde a

prevenção falhará, seja por causa de uma má configuração do firewall ou uma nova

vulnerabilidade de um serviço oferecido pelo sistema. E na detecção que uma

honeypot tem maior importância, uma vez que todo tráfego gerado para a honeypot é

suspeito e deve ser verificado. Apenas em alguns casos serão gerados falsos

positivos, no caso de alguém acidentalmente apontar seu browser para o endereço IP

da honeypot. A detecção também se torna mais fácil, pois os logs gerados pela estão

livres do ruído existente em uma rede de produção real.

Uma vez identificado um ataque, algumas ações são necessárias como coletar

evidencias de como o atacante conseguiu acesso ao sistema, o que ele fez ao

sistema, de onde ele conseguiu acesso, e o encaminhamento destas informações as

autoridades responsáveis, tais ações se referem a resposta dada ao ataque.

21

4.8.2. Honeypot de Pesquisa

Segundo SPITZNER, o honeypot de pesquisa tem como finalidade de

pesquisar ameaça enfrentada pelas organizações, e como melhor proteger contra

essas ameaças. Age como "contra inteligência", seu trabalho é obter informações

sobre os bandidos e com isso utiliza-la para proteger contra essas ameaças,

geralmente é utilizado por universidades, governo, militares ou organizações de

investigação de segurança.

Os Honeypots de Pesquisa oferecem uma plataforma de estudo visando

compreender a comunidade hacker, não apenas estudar as ferramentas utilizadas

para a invasão, que normalmente são deixadas no sistema pelo atacante, mas obter

informações preciosas como: qual ferramenta utilizada para testar o sistema, qual

explorador utilizado para comprometê-lo e cada tecla utilizada após a invasão do

sistema, afirma SPITZNER. Embora o ganho de conhecimento sobre as ações e

motivações da comunidade hacker seja enorme, uma honeypot de pesquisa pouco

acrescenta a uma organização, pois estão focadas nas ações do atacante e não

apenas sua detecção.

4.9. Tipos de honeypot

De acordo com SPITZNER em “Tracking Hackers”, existem muitos tipos de

honeypots, o que os tornam bastantes difíceis de serem detectados por um invasor,

porém, eles podem ser divididos em duas categorias principais, que são os de baixa

interação e de alta interação. Este tipo de divisão ajuda a entender que tipo de

honeypot esta sendo tratado e suas vantagens e desvantagens.

4.9.1. Honeypot de Baixa Interação (Low-Interaction

Honeypot)

Afirma SPITZNER, que a interação de um honeypot define exatamente que

nível de atividade permitirá ao atacante, honeypots de baixa interação oferecem ao

atacante uma interação bastante limitada, normalmente eles funcionam emulando

serviços e sistemas operacionais. As atividades do atacante é limitada ao nível de

emulação aplicada ao honeypot.

22

De acordo com PROVOS, nos honeypots de baixa interatividade, o atacante

interage com emulações de serviços de rede, que não correspondem a serviços reais

e portanto não serão realmente comprometidos.

As vantagens deste tipo de honeypot são: simplicidade, facilidade de

implantação e manutenção e baixo risco. Geralmente sua implantação envolve a

instalação de um software, seleção do tipo de sistema operacional ou serviços que

serão emulados e monitorados. Este honeypot “plug and play” minimiza bastante o

risco exatamente por não deixar que o atacante tenha acesso ao sistema operacional,

o que evita também seu uso como trampolim para invasão de outros computadores da

rede.

A principal desvantagem destes honeypots são seus logs (registros) limitados

pois eles são projetados para capturar somente atividades maliciosas conhecidas,

dependendo da qualidade do emulador, este tipo pode ser facilmente percebido pelo

atacante. As ferramentas mais conhecidas deste tipo de honeypot são: Specter,

Honeyd e KFSensor.

Niels Provos, desenvolvedor do honeyd, que é uma ferramenta OpenSource

projetada para funcionar em sistemas Unix, trabalha sobre o conceito de

monitoramento de IPs não utilizados. Desta forma, ele intercepta a conexão feita para

um IP não utilizado e então começa a interagir com o atacante, fazendo assim se

passar por uma vítima. O honeyd detecta e registra qualquer conexão a qualquer porta

TCP ou UDP, além de permitir que o usuário configurar a emulação de outros serviços

em portas específicas, como um serviço de FTP monitorando a porta TCP 21.

Quando um atacante conecta ao servidor de FTP emulado, toda a sua

atividade é registrada, bem como podemos capturar seu login e senha, os comandos e

talvez até mesmo sua identidade e o que eles estão procurando. Geralmente seus

emuladores funcionam da mesma maneira. São programados para receberem uma

conexão e reagirem.

O honeyd, além de emular serviços específicos, pode também emular

sistemas operacionais, ou seja, eles podem parecer para o atacante como sendo um

roteador Cisco, um servidor web em um Windows XP ou um servidor DNS Linux. Há

vantagens em emular diferentes sistemas operacionais, a primeira é que o honeypot

pode ser mais facilmente misturado à rede assumindo a aparência e o comportamento

23

dos sistemas reais de produção e a segunda é que você pode oferecer ao atacante

exatamente o sistema que você gostaria de estudar.

4.9.2. Honeypot de Alta Interação (High-Interaction

Honeypot)

Honeypots de alta interação são soluções complexas pois envolvem sistemas

operacionais e aplicações reais, nada é emulado, o se oferece aos atacantes são

sistemas reais. Se quiser um honeypot executando um servidor FTP, terá que fazer

um sistemas operacional real executando um servidor FTP real.

De acordo com Tracking Hackers as vantagens são que se pode capturar uma

vasta quantidade de informações, pois dando sistemas reais para o atacante interagir

consegue aprender e entender completamente seu comportamento e tudo sobre as

novas ferramentas de invasões, como os chamados rootkits. Outra grande vantagem é

que este tipo de honeypot não faz nenhum tipo de suposição com relação as ações do

invasor, ou seja, podemos fazer registros de todas as suas atividades, permitindo

aprender com comportamentos que não esperávamos, o que não acontece com os

honeypots de baixa interação .

Este tipo de honeypot é bem mais complexo de instalar e manter e apresenta

alto risco se não for bem administrado e monitorado. As ferramentas mais conhecidas

utilizadas para implementação deste tipo de honeypot são: Symantec Decoy Server e

Honeynets.

Segundo Spitzner em Tracking Hackers, honeynets são os principais exemplos

de honeypots de alta interação. É uma arquitetura, uma rede completa de

computadores preparados para serem atacados. A ideia é que se possa ter uma

arquitetura que forneça uma rede altamente controlada, onde toda e qualquer

atividade seja monitorada e capturada. Nessa rede coloca-se falsas vítimas em

computadores reais, executando aplicações reais. Quando os atacantes atacam, caem

dentro destes sistemas e não percebem que estão em uma honeynet. Toda a sua

atividade, desde sessões SSH criptografadas até e-mails e upload de arquivos são

capturadas sem que eles percebam. Isto é feito através da inserção de módulos no

kernel dos sistemas de honeypots que permitem a captura de todas as atividades dos

atacantes ao mesmo tempo em que controlam suas atividades. O controle é feito

utilizando um HoneyWall Gateway, este sistema aceita o tráfego de entrada, porém

controla o tráfego de saída utilizando para isso sistemas de prevenção de intrusos,

24

que permite ao atacante interagir com o sistema de honeypot e evita que do ponto que

esta ele possa invadir outros computadores da rede.

O exemplo desta arquitetura pode ser visto na Figura 2.

Figura 2 – Exemplo de arquitetura de uma honeynet.

Segue abaixo a Tabela 1 que compara Honeypots de baixa interatividade e

Honeypot de alta interatividade.

Características Honeypot de baixa

interatividade

Honeypot de alta

interatividade/Honeynet

Instalação fácil mais difícil

Manutenção fácil trabalhosa

Risco de comprometimento baixo alto

Obtenção de informações limitada extensiva

Necessidade de mecanismos de contenção não sim

Atacante tem acesso ao S.O. real não sim

Aplicações e serviços oferecidos emulados reais

Atacante pode comprometer o honeypot não sim

Tabela 1 – Comparação entre Honeypot de baixa interatividade e de alta interatividade.

25

4.10. Honeynet

Honeynet [The Honeynet Project] não é um sistema único, mas sim uma rede

de sistemas e aplicativos múltiplos, projetada para ser comprometida e observada. Um

honeynet [Honeynet Project, 2001] é uma coleção de honeypots de alta interatividade

com diferentes sistemas operacionais, configurações e serviços de rede. Por sua

diversidade, essa rede tem um alto potencial de atração de ataques. Além dos

honeypots, uma honeynet possui firewalls para evitar que tráfego malicioso se

propague a partir dela para outras redes, detectores de intrusão para monitorar as

atividades maliciosas e servidores de login para o registro de eventos. A implantação

de uma honeynet implica em alocar vários computadores, com sistemas operacionais

e serviços distintos, o que pode significar um alto custo de implantação e operação.

Nesse contexto, máquinas virtuais podem ser usadas para construir honeynets

virtuais. Honeynet virtual [Honeynet Project, 2003] é simplesmente uma honeynet

construída com máquinas virtuais ao invés de computadores reais.

A virtualização traz vantagens, como o menor custo de implantação e gerência,

mas pode também trazer inconvenientes, como limitar as possibilidades de honeypots

aos sistemas que podem ser virtualizados sobre a plataforma computacional escolhida

e caso o sistema nativo seja comprometido, toda a honeynet estará comprometida.

Para [Honeynet Project, 2003], uma honeynet pode ser totalmente virtual, quando

todos os computadores envolvidos são máquinas virtuais, ou híbrida, quando é

composta por honeypots virtuais e máquinas reais para as funções de firewall,

detecção de intrusão e login.

Uma honeynet é uma ferramenta de pesquisa, que consiste de uma rede

projetada especificamente para ser comprometida, e que contém mecanismos de

controle para prevenir que seja utilizada como base de ataques contra outras redes.

Ou seja, uma honeynet nada mais é do que um tipo de honeypot, especificamente, de

alta interatividade, projetado para pesquisa e obtenção de informações dos invasores,

é conhecida também como um Honeypot de Pesquisa. Uma vez comprometida, a

honeynet é utilizada para observar o comportamento dos invasores, possibilitando

análises detalhadas das ferramentas utilizadas, de suas motivações e das

vulnerabilidades exploradas.

26

O exemplo desta arquitetura pode ser visto na Figura 3.

Figura 3: Exemplo da arquitetura de Honeynet.

Segundo HOEPERS, existem dois principais tipos de honeynets, as

denominadas reais ou clássicas, e as virtuais. Para a escolha do tipo a ser

implementado deve ser considerado a necessidade, objetivo e investimento disponível

para a infraestrutura a ser utilizada na honeynet.

4.10.1. Honeynet Real ou Clássica

MARINHO diz que uma honeynet real é composta por vários dispositivos

físicos que colaboram na detecção e captura de informações de ataques. Alguns

destes dispositivos contidos na estrutura da honeynet atuam no controle de tráfego,

como roteadores, firewalls e IDS, enquanto que outros são responsáveis pela captura

e armazenamento das informações de ataques, sendo os honeypots. São sistemas

reais com instalações específicas, que podem utilizar sistemas operacionais variados

e independentes.

As principais vantagens e desvantagens na escolha deste tipo serão citadas a

seguir.

27

Vantagens:

Ambiente distribuído tolerante a falhas;

Dispositivos reais;

Maior interação com o atacante;

Captura de informações mais precisas.

Desvantagens:

Custo de implementação elevado;

Dificuldades na instalação e administração;

Complexidade na manutenção;

Necessidade de espaço físico maior.

A Figura 4 mostra a estrutura genérica de uma honeynet clássica onde cada

honeypot é um computador. Geralmente refletem as mesmas estruturas que as

organizações teriam em sua rede interna.

Figura 4 – Exemplo de Honeynet clássica.

28

4.10.2. Honeynet Virtual

A honeynet virtual é composta por dispositivos de uma honeynet

implementados em um número reduzido de dispositivos físicos. Para isto,

normalmente é utilizado um único computador com um sistema operacional instalado,

que serve de base para a execução de um software de virtualização, que permite

emular outros sistemas operacionais simultaneamente, com aplicações e serviços

instalados, segundo MARINHO. As honeynets virtuais ainda são subdivididas em duas

categorias: honeynets de autocontenção e honeynets híbridas.

Nas honeynets de autocontenção, todos os mecanismos, incluindo contenção,

captura e coleta de dados, geração de alertas e os honeypots (implementados através

do software de virtualização) estão em um único computador.

Já nas honeynets híbridas, os mecanismos de contenção capturam e coletam

dados e geração de alertas que são executados em dispositivos distintos, enquanto

que os honeypots são executados em um único computador com um software de

virtualização.

Vantagens:

Custo reduzido (menor gasto com equipamentos e energia elétrica);

Fácil gerenciamento;

Simples instalação e administração, se comparado a honeynet real;

Espaço físico reduzido.

Desvantagens:

Limitação nos sistemas operacionais e serviços oferecidos pelos

softwares de virtualização;

Se o software de virtualização for comprometido, o invasor pode

dominar e controlar toda a honeynet virtual;

Interação com o atacante é inferior se comparado com a honeynet real.

29

Figura 5 – Exemplo de Honeynet virtual.

30

5. Implementação do Honeypot

5.1. Criar a maquina virtual

No projeto foi utilizado o software de virtualização Oraculo VM VIRTUALBOX,

como mostra a Figura 6, que foi criado pela empresa de software Innotek GmbH,

comprada em 2008 pela Sun Microsystems , e agora desenvolvido pela Oracle

Corporation , como parte de sua família de produtos de virtualização . Oracle VM

VirtualBox é instalado em um sistema operacional anfitrião, como um aplicativo, o

aplicativo host permite que os sistemas operacionais hóspedes adicionais, cada um

conhecido como um sistema operacional do cliente , para ser carregado e executado,

cada um com seu próprio ambiente virtual. A ferramenta Virtualbox foi escolhida pois

além de ser uma ferramenta fácil de utilizar, ela supri as necessidades propostas para

esse projeto.

Figura 6 : Oraculo VM VirtualBox

http://en.wikipedia.org/wiki/Sun_Microsystems

http://en.wikipedia.org/wiki/Oracle_Corporation

http://en.wikipedia.org/wiki/Oracle_Corporation

http://en.wikipedia.org/wiki/Host_machine

31

Agora será criada a maquina virtual. Colocar o nome da maquina, selecionar o

sistema operacional e sua versão, como mostra a Figura 7.

Figura 7: Criando a maquina virtual.

Escolher a quantidade de memória a ser alocada para a maquina virtual que

será instalada, assim como mostra na Figura 8.

Figura 8: Alocando memória para maquina virtual.

32

Será necessário optar entre criar um novo disco rígido ou utilizar algum já

existente, porem, como é para fins de estudo, optei por criar um novo disco rígido,

como mostra a Figura 9.

Figura 9: Definindo o disco de boot.

No procedimento de criação da maquina virtual, é necessário optar pelo tipo

que arquivo que será utilizado na instalação do sistema operacional. Figura 10.

33

Figura 10: Criação de discos virtuais.

Como não é possível especificar o quanto certo será utilizado pelo sistema

operacional, optei por alocar o espaço no disco rígido dinamicamente, Figura 11, ou

seja, assim que necessário o próprio sistema vai utilizando mais dos recursos de

espaçamento do disco.

Figura 11: Detalhes do armazenamento de disco virtual.

A maquina virtual irá utilizar a recursos da maquina fisica, por isso deve-se

alocar além da memória, deve-se também alocar espaço físico no HD(HardDisk), foi

alocado de inicio 8Gb dinamicamente, assim como mostra a Figura 12.

34

Figura 12: Alocando o tamanho do disco virtual.

A máquina virtual esta preste a ser criada, apresenta as seguintes

configurações:

Memória de 1Gb(Gigabyte).

Armazenamento dinâmico de 8Gb(Gigabyte).

Placa de rede em modo Bridge.

A placa de rede tem que ser no modo Bridge, pois a maquina irá receber a

conexão de internet e passará através de uma “ponte” para o MAC virtual, que assim

terá também a conexão de rede ativa.

35

Figura 13: Especificações da maquina virtual criada.

5.2. Instalando o Sistema Operacional

O sistema operacional utilizado nesse projeto de implementação da ferramenta

honeypot, foi o sistema Linux BackTrack 5 r3, é uma distribuição baseada

no Debian distribuição GNU / Linux que visa forense digital e testes de penetração de

uso. Oferece aos usuários fácil acesso a uma coleção abrangente e grande de

segurança relacionados com ferramentas que vão desde scanners de portas para os

crackers de senha.

No projeto foi utilizado o sistema operacional BackTrack 5 r3 de 32bitspois a

maquina física não suporte arquitetura x64 como maquina virtual, devido ao numero

de processador que a maquina hospedeira contem.

Iniciar a maquina com o LiveCD para instalar, após dar o boot, selecionar a 1º

opção que inicia como modo texto padrão da como mostra a Figura 14.

http://en.wikipedia.org/wiki/Linux_distribution

http://en.wikipedia.org/wiki/Debian

http://en.wikipedia.org/wiki/Debian

http://en.wikipedia.org/wiki/Digital_forensics

http://en.wikipedia.org/wiki/Penetration_test

36

Figura 14: Modos de instalação do sistema operacional.

Após o carregamento das configurações, digitar o comando ‘startx’, que tem

como finalidade iniciar com a interface gráfica do sistema operacional, como pode se

ver na Figura 15 e Figura 16.

Figura 15: Comando de inicialização do modo de interface gráfica.

37

Figura 16: Interface gráfica.

Para fazer a instalação do sistema operacional, baste dar um duplo clique no

arquivo que esta no Desktop, com o nome ‘Install BackTrack’. Selecionar o idioma

desejado para a instalação. Figura 17.

38

Figura 17: Instalando sistema operacional, selecionando idioma.

Selecionar a região que esta localizada no mundo, para que o fuso horário e a

região sejam corrigidos. Figura 18.

Figura 18: Arrumando localização e fuso horário.

Selecionar a melhor opção que seja compatível com seu teclado, como mostra

a Figura 19.

39

Figura 19: Selecionando o layout de teclado.

Selecionar a melhor opção referente a partição do HD virtualmente alocado.

Figura 20.

Figura 20: Preparar espaço em disco virtual.

40

Na figura 21, mostra como ficou particionado o HD para instalação do software.

Figura 21: Preparando para instalação.

Após instalação o sistema operacional irá se reiniciar, ao iniciar para fazer login

o usuário padrão é ‘root’ e a senha é ‘toor’. Figura 22. Após realizar o login entrar na

interface gráfica através do comando ’startx’.

41

Figura 22: Acesso após instalação do pacote de dados.

5.3. Instalando o Pentbox - Honeypot

No trabalho sera abordado a ferramenta PentBox, como sendo um honeypot de

baixa interação, onde fornece serviços ao invés de sistemas operacionais reais.

PenTBox é uma suíte de segurança com programas como crackers de senhas,

negação de ferramentas de teste de Serviço (DoS e DDoS), geradores de senha

segura, honeypots. Destinado a testar a segurança, estabilidade de redes.

Programado em Ruby, e orientada para sistemas GNU / Linux , compatível com

Windows, MAC e Linux.

Para instala-lo, após entrar na maquina virtual com o sistema operacional

BackTrack no modo de interface gráfica, abrir o terminal e para baixar o pacote de

dados do PentBox, através do comando. Figura 23.

Figura 23: Comando para baixar o pentbox.

42

Após a instalação do pacote, entrar na pasta ‘pentbox’.

Figura 24: Pacotes instalados.

Atualizar o SVN pelo comando. ‘svn update’. Figura 25.

Figura 25: Atualizando o SVN.

Depois de atualizar, abra o pentbox, pelo comando ‘./pentbox.rb’ para fazer as

configurações do honeypot de baixa interação, Figura 26.

43

Figura 26: Tela inicial do pentbox.

Ao abrir o pentbox, foi selecionado a opção 2 – Network tools . Figura 27.

Figura 27: Menu de configuração do honeypot.

44

Em seguida, foi selecionado a opção 3 – Honeypot , pois será a ferramenta a

ser implementada. Figura 27.

Figura 27: Menu de opções de ferramentas.

Ao escolher a ferramenta honeypot, será necessário definir se a configuração

será feita automática ou manualmente, optei aqui por fazer manualmente (2 – Manual

Configuration), mostrado na Figura 28. Configurando manualmente, pede-se pra

adicionar uma porta (Insert port to Open ), essa porta ficará aberta por tempo

indeterminado até que a ferramenta não esteja mais em execução. A porta escolhida

nesse trabalho foi a porta 23.

Após definir a porta, é necessário digitar uma mensagem que será mostrada ao

atacante no momento do acesso ou ataque, mostrado na Figura 28.

45

Figura 28: Configurando manualmente, definindo porta a ser aberta e

mensagem apresentada.

Com a definição da porta aberta e a mensagem que será mostrada ao atacante

bem definida, é necessário escolher alguns serviços a mais na configuração, são eles

a parte de Log e Alerta de acesso. No decorrer do trabalho optou-se por salvar os

Logs e alertar alguns acesso, para que tenha um controle de que host esta atacando e

o que o atacante esta utilizando como meio de acesso. Os logs serão salvos no

diretório ( /pentbox/other/log_honeypot.txt ) Figura 29.

Como pode ser observado na Figura 29, o honeypot já esta em execução com

a porta 23 aberta para acessos, no decorrer será feito ataque para que o mesmo fique

registrado no log e possa ser mostrado.

46

Figura 29: Honeypot em execução.

5.4. Acesso ao PentBox - Honeypot

O teste de invasão foi realizado com o programa PuTTy que é um cliente de

SSH e telnet, desenvolvido originalmente por Simon Tatham para a plataforma

Windows. PuTTY é um software de código aberto que está disponível com código

fonte e é desenvolvido e suportado por um grupo de voluntários. Figura 32. O ataque

foi realizado direcionando para o IP 124.0.2.190, e para a porta 23. Figura 30.

Figura 30: Endereço de IP da maquina virtual.

Para saber quais portas estão abertas no host, é necessário dar o comando:

‘nmap’, como mostra a Figura 31.

47

Figura 31: Verificando as portas abertas com o Nmap.

Figura 32: Putty acesso ao IP 124.0.2.190 porta 23.

Ao acessar, instantaneamente já aparece que o honeypot esta sendo atacado,

como mostra a Figura 33. O honeypot detecta que esta sendo invadido, e alerta na

tela de execução do mesmo, mostrando também o IP do atacante.

48

Figura 33: Honeypot atacado.

A figura 34, mostra o log dos ataques, quem fez ou tentou fazer acesso ao IP

124.0.2.190 direcionando para a porta 23. Os logs ficam registrados no diretório.

/root/pentbox/other/log_honeypot.txt

Figura 34: Log de acesso.

49

5.5. Ferramenta Valhala Honeypot - Windows

A ferramenta Valhala Honeypot traz o conceito de pote de mel para todos

sistemas operacionais, permitindo facilidade e velocidade, possui os seguintes

servidores: WEB, FTP, TFTP, POP3, ECHO, DAYTIME, SMTP, FINGER e PORT

FORWARDING. Simula portas de trojans conhecidos, como Netbus, Subseven, e

ainda possibilita utilizar portas extras. Figura 35. A ferramenta Valhala esta instalada

em ambiente Windows 7, cujo IP:124.0.2.219.

Figura 35: Ferramenta Valhala Honeypot.

Para configurar o valhala, basta clicar em ’Configurar’, será aberto várias

possibilidades de criar um honeypot, Figura 36. A opção escolhida no projeto foi o

acesso via telnet, pois com essa ferramenta faz-se o acesso completo de um sistema

operacional emulado. Figura 37.

50

Figura 36: Criação de diversos ambientes de honeypot.

Figura 37: Habilitando servidor telnet.

51

Após a configuração do ambiente honeypot criado, ao voltar a tela inicial do

Valhala, deve-se começar a monitorar as portas.

5.6. Acesso ao Honeypot - Valhala

O acesso será feito via telnet utilizando o programa Putty, o IP e a porta a ser

acessado é : 124.0.2.219 e porta 23. Figura 38.

Figura 38: Acesso via putty o honeypot valhala.

Ao fazer o acesso, é aberto em linha de comando o honeypot ao atacante,

porem diferentemente dos outros honeypots de baixa interação, esse possibilita a

interação do atacante com o honeypot, contudo o acesso é limitado, podendo fazer

alguns comandos, e acessos a algumas pastas, como poderá ser visto nas figuras a

seguir.

52

O acesso foi realizado ao honeypot. Figura 39.

Figura 39: O honeypot foi acessado pelo atacande.

O atacante consegue ver todo o conteúdo do honeypot, foi dado o comando

‘dir’ que serve para listar todo o conteúdo da pasta que esta acessando. O honeypot

foi configurado para não dar acesso total, nessa implementação foi dado somente

acesso ao diretório ARQUIVOS, como mostra a Figura 40.

Figura 40: Acessando conteúdo do honeypot.

53

Novamente foi dado o comando ‘dir’ para listar tudo o que há dentro da pasta.

Figura 41.

Figura 41: Acessando a pasta de Arquivos no honeypot.

Ao tentar acessar as pastas que não se tem acesso mostra-se a mensagem

‘Voce não tem permissão para acessar esse diretorio’, como pode ser observado na

Figura 42.

Figura 42: Acesso sendo negado ao tentar acesso ao diretório.

54

A ferramenta valhala honeypot, ao ser acessado ela também gera um Log,

esse log pode ser visto em tempo real ou pode ser salvo para uma analise futura. A

analise do log em tempo real pode ser vista na Figura 43. Na parte superior esta a tela

do Log e na parte inferior da imagem esta o sistema sendo invadido.

Figura 43: Monitoramento do acesso ao honeypot.

55

5.6.1. Log de acesso Valhala - Honeypot

Log são registros de eventos em um sistema de computadores, o Valhala além

possibilitar ver quem esta acessando em tempo real, também disponibiliza o

salvamento do log para uma futura analise de dados de acesso. Abaixo são os dados

salvos durante o processo que implementação e testes da ferramenta Valhala.

(11:34:19) O IP 124.0.2.219 tentou invasão por telnet (conexão)

(11:34:20)Comunicação via rede falhou

(11:34:42) O IP 124.0.2.219 tentou invasão por telnet (ÿûÿû

ÿûÿû'ÿýÿû ÿý ls )


(11:34:51) O IP 124.0.2.219 tentou invasão por telnet (dir )


(11:37:21) O IP 124.0.2.219 tentou invasão por telnet (cd arquivos/ )


(11:37:48) O IP 124.0.2.219 tentou invasão por telnet (cd arquivos )




Modo console iniciado: Modo Logs

Modo console iniciado: Modo Configurações

modo servidor interrompido

(11:39:02) O IP 124.0.2.219 tentou invasão por telnet (conexão)

56


(11:39:50) O IP 124.0.2.219 tentou invasão por telnet (ÿûÿû

ÿûÿû'ÿýÿû ÿý dir )




(11:41:07) O IP 124.0.2.219 tentou invasão por telnet (cd arquivos )




(11:42:04) O IP 124.0.2.219 tentou invasão por telnet (cd )


(11:42:08) O IP 124.0.2.219 tentou invasão por telnet (cd.. )


(11:42:16) O IP 124.0.2.219 tentou invasão por telnet (ifconfig )




(11:42:54) O IP 124.0.2.219 tentou invasão por telnet (cd clientes )


(11:43:03) O IP 124.0.2.219 tentou invasão por telnet (cd documentos )


57

(11:43:12) O IP 124.0.2.219 tentou invasão por telnet (cd funcionarios )


58

6. Conclusão

O grande a avanço tecnológico e dos meios de comunicação, é justificado pela

busca incessante de profissionais da área em acompanhar a descoberta de ataques,

ameaças de segurança e falhas nos sistemas computacionais, para isso a utilização

de métodos que corrijam estas falhas e aprimorem os sistemas de segurança que

combatem essas ofensivas são essenciais.

No decorrer da pesquisa e realização das atividades propostas neste trabalho,

foi possível constatar a importância da sentença “informação é poder”. Importância no

sentido de se obter uma segurança em seu ambiente de rede, uma vez que se pode

conhecer cada um dos pontos críticos da rede, falhas, vulnerabilidades, tipos de

ataques mais frequentes, fluxos e rotas.

A ferramenta de segurança honeypot proposta nesse trabalho se mostrou

altamente eficiente para este fim, descrevendo o trafego malicioso, coletando

informações do atacante e as registrando, para que possa ser analisada. Com os

registros é possível estudar o invasor, elaborar meios que impeçam de novos ataques

e consertar erros de segurança na rede.

Como trabalhos futuros, propõe-se implantação efetiva de honeypot na

empresa SETTICOM, tanto conectados à Internet quanto na rede interna, de forma a

otimizar a segurança dos sistemas e proteger as informações da empresa,

proporcionando todos os benefícios descritos no decorrer deste trabalho.

59

7. Bibliografia

BELLOVIN S. M., “There Be Dragons,” in Proceedings of the Third Usenix Security

Symposium, 1992.

CHESWICH W. R., “An Evening with Berferd in Which a Cracker is Lured,

Endured, and Studied,” in Proceedings of the Winter Usenix Conference, (San

Francisco, California, USA), pp. 163–174, 1992.

COHEN F., “Deception ToolKit.” Risks Digest, Vol 19.62, Mar. 1998. Disponível em:

< http://catless.ncl.ac.uk/Risks/19.62.html > . Acesso em: 10 Set. 2012.

DUARTE Otto, (2008). Virtualização - VMWare x Xen. Disponível em: <

http://www.gts.ufrj.br/grad/09_1/versao- final/virtualizacaoo/conceito

%20de%20virtualizacao.html > , acesso 18 abr. 2012.

HOEPERS, C; STEDING J. K. Honeynets Applied to the CSIRT Scenario .

Disponível em: < http://www.honeynet.org.br/papers/hnbr-first2003.pdf > Acesso em:

11 Set. 2012.

HOEPERS C; STEDING J. K; CHAVES, M. H. P.C. Honeypots e Honeynets:

Definições e Aplicações 2007, Disponível em:

<http://www.cert.br/docs/whitepapers/honeypots-honeynets>. Acesso em: 19 Out.

2012.

60

HONEY NET PROJ. “Conheça seu inimigo – O Projeto Honeynet”. Editora

Pearson, São Paulo, 2002.

KRAUSE M.; TIPTON H. F. Handbook of Information Security Management.

Auerbach Publications. 1999.

MARINHO, Renato Rodrigues. HONEYPOTS: Acompanhando os passos de uma

invasão em tempo real. Fortaleza, 2004. (Trabalho de Conclusão do Curso de

Informática) UNIFOR - Universidade de Fortaleza, 2004.

SCHNEIER Bruce. Segredos e Mentiras: Segurança digital em um mundo

conectado. 1. ed. John Wiley Consumer, 2000. 432 p.

SÊMOLA M. Gestão da Segurança da Informação - Uma visão executiva. Campus,

Rio de Janeiro. 2003.

SPITZNER, L.; RANUM, M. “Honeypots: Tracking Hackers,” in SANS 2002 Annual

Conference, (Orlando, Florida, USA), April 2002.

SPITZNER Lance. Tracking Hackers – Deficition and Value of Honeypots.

Disponível em : <http://www.tracking- hackers.com/papers/honeypots.html> Acesso

em 17 jul. 2012.

SPITZNER L. “Learning the Tools and the Tactics of the Enemy with Honeynets”

in Proceedings of the 12th Annual Computer Security Incident Handling Conference

(Chicago, Illinois, USA), June 2000.

61

STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 4.

ed. São Paulo: Pearson Prentice Hall, 2008. 492 p.

STOLL C., The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer

Espionage. Gar-den City, NY: Doubleday, 1989. ISBN 0-385-24946-2.

STOLL C., “Stalking the Wily Hacker,” Communications of the ACM, vol. 31, pp. 484–

497, May 1988.

TANENBAUM, Andrew S.; STEEN, Maarten Van. Sistemas Distribuidos: Principios

e paradigmas. 2. ed. São Paulo: Pearson Prenttice Hall, 2007. 398 p.

VMWORLD BRAZIL – Tecnologia e Informação. Conhecendo a origem da

virtualização. Brasilia, mai. 2010. Disponivel em:

<http://www.vmworld.com.br/br/index.php/component/content/article/50-

virtualizacao/80-historia-conhecendo-a-origem-da-virtualizacao.html>. Acesso em: 18

abr. 2012.

ANÁLISE DE SEGURANÇA NA IMPLEMENTAÇÃO DE TECNICAS DE...

Documents

Transcript of ANÁLISE DE SEGURANÇA NA IMPLEMENTAÇÃO DE TECNICAS DE...